twistlock defender helm
Twistlock Defender DaemonSet Helm Chart 33.01.137
用於部署 Twistlock Defender 的 Helm Chart。
該圖表可以與 CNCF 批准的外部機密操作員一起管理其內部機密。
筆記
此圖表使用 AWS Secrets Manager 和 Azure Key Vault 作為秘密管理系統進行了測試。
若要取得此 Helm Chart 工作所需的值,請從 Prisma Cloud 運算主機下載 Helm Chart,方法是前往管理 > Defenders > 手動部署並選擇下列參數:
部署方式:Orchestrator
Orchestrator 類型:Kubernetes 或 Openshift
所有其他基本和高級設定將根據您的環境而有所不同。
選擇適合您的選項後,請下載 Helm Chart:
下載的檔案名稱為twistlock-defender-helm.tar.gz 。在這個壓縮資料夾中,您需要提取檔案values.yaml ,這將有助於作為部署的參考。
若要將與防禦者部署相關的機密儲存在機密管理系統中,請使用下列程序:
使用下列指令安裝External Secrets Operator
helm repo 新增外部秘密 https://charts.external-secrets.io helm install external-secrets external-secrets/external-secrets -n external-secrets --create-namespace
有關安裝的更多詳細信息,請遵循入門指南。
依照對應的指南安裝 SecretStore 或 ClusterSecretStore,以便外部 Secrets Operator 可以檢索機密。此圖表預設使用ClusterSecretStore,因為沒有附加到部署防禦者的命名空間。若要將其變更為 SecretStore,請在 value.yaml 檔案中設定下列值:
秘密商店:
種類: 秘密商店使用以下 JSON 格式建立 Secret:
{"SERVICE_PARAMETER":"service_parameter","DEFENDER_CA":"defender_ca_cert","DEFENDER_CLIENT_CERT":"defender_client_cert","DEFENDER_CLIENT_KEY":"defender_misn_client_cert",DEFEN "," INSTALL_BUNDLE":"install_bundle","WS_ADDRESS":"ws_address","REGISTRY_USER":"registry.user","REGISTRY_PASS":"registry.password","REGISTRY":"registry.name"}您必須將這些值替換為與您的防禦者部署相對應的值。
對於 Azure Key Vault,您需要將內容類型設定為application/json 。
從 SERVICE_PARAMETER 到 WS_ADDRESS 的值可以在先前從 Prisma Cloud 下載的 Helm Chart 的Values.yaml檔案中找到。
如果使用 Defender 公共註冊表,註冊表配置的值應如下:
註冊表:registry.twistlock.com
REGISTRY_USER:您的任何選擇
REGISTRY_PASS:用於下載圖像的存取令牌
有關如何下載容器映像的更多詳細信息,請遵循 Prisma Cloud 容器映像文件。
預設配置如下:
collect_pod_labels: true # 允許收集命名空間和部署標籤作為在Prismamonitor_service_accounts 中檢測到的標籤的一部分Prismamonitor_service_accounts: true # 允許監控k8s 服務帳戶unique_hostname: true # 分配唯一的主機名host_custom_compliance: false 禁用性
所有其他預設設定都可以在values.yaml 檔案中找到。
以下是沒有外部機密的最簡單的value.yaml推薦範例:
image_name:registry.twistlock.com/twistlock/defender:defender_predion> registry:Name:registristry.twistlock.com.username:twistlockpassword:<Access_token>#secretsservice_parameter:<鑰匙:<DY EY> install_bundle:<YOUR_INSTALL_BUNDLE>ws_address:<YOUR_WS_ADDRESS>
下載 Helm Chart 時,可以在鏡像名稱中取得存取令牌的值。它應該是tw_旁邊的值。
如果使用私有註冊表,您還可以替換映像名稱和註冊表詳細資訊。
以下是具有外部機密的value.yaml的最簡單推薦範例:
image_name:registry.twistlock.com/twistlock/defender:defender_<版本>secret_store:名稱:<YOUR_SECRETSTORE_NAME>remote_key:<YOUR_SECRET_NAME>
對於 GKE Autopilot 中的部署,需要設定以下值:
gke_autopilot_annotation: 'autopilot.gke.io/no-connect: "true"'
對於 OpenShift 中的部署,請設定以下值:
openshift: trueselinux_header: 'seLinuxOptions:'selinux_options: '類型: spc_t'
若要包含准入控制器,您必須包含以下值:
Defender_ca_cert:<YOUR_DEFENDER_CA>admission_path:<YOUR_ADMISSION_PATH>
這些值可以從 Prisma 計算控制台獲取,方法是轉至管理> Defenders >設定
若要安裝最新版本,請執行下列命令:
舵升級 --install -n twinlock-fvalues.yaml --create-namespace --repo https://paloaltonetworks.github.io/twistlock-defender-helm twinlock-defender twinlock-defender
若要安裝特定版本,請執行下列命令:
helm 升級 --install -n twinlock-fvalues.yaml --create-namespace --repo https://paloaltonetworks.github.io/twistlock-defender-helm --version <版本> twinlock-defender twinlock-defender
